Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

IKEポリシーの設定

事前共有キーの IKE ポリシーの設定

IKEポリシーは、IKEネゴシエーション時に使用するセキュリティパラメータ(IKEプロポーザル)の組み合わせを定義します。ピア アドレス、特定のピアの事前共有鍵、およびその接続に必要なプロポーザルを定義します。IKE ネゴシエーション中に、IKE は両方のピアで同じ IKE ポリシーを探します。ネゴシエーションを開始したピアは、そのすべてのポリシーをリモートピアに送信し、リモートピアは一致を見つけようとします。

2 つのピアの両方のポリシーに、同じ設定済み属性を含むプロポーザルがある場合、一致します。ライフタイムが同じでない場合は、(ホストとピアからの)2つのポリシー間の短い方のライフタイムが使用されます。設定された事前共有キーも、そのピアと一致する必要があります。

少なくとも 1 つのプロポーザルがリモート ピアのプロポーザルと一致するように、各ピアで複数の優先順位付きプロポーザルを作成できます。これを行うには、プロポーザルを設定してIKEポリシーに関連付け、オプションで、 policy ステートメントでリストに優先順位を付けて、リスト順に評価します。

[edit security ike]階層レベルに policy ステートメントを含め、ピアアドレスとしてIPsecトンネル宛先を指定します。

IKEポリシーを設定する作業は、以下の通りです。

IKEポリシーの説明の設定

IKEポリシーの説明を指定するには、[edit security ike policy ike-peer-address]階層レベルで description ステートメントを含めます。

IKEポリシーのモードの設定

IKE ポリシーには、アグレッシブとメインの 2 つのモードがあります。デフォルトでは、 メインモード は有効になっています。メイン モードでは、3 つの交換で 6 つのメッセージを使用して IKE SA を確立します。(これらの 3 つのステップは、IKE SA ネゴシエーション、 Diffie-Hellman 鍵交換、およびピアの認証です)。メインモードでは、ピアがそのIDを隠すこともできます。

アグレッシブ モードでは 、認証されたIKE SA と鍵も確立されます。ただし、アグレッシブ モードでは、半分のメッセージを使用し、ネゴシエーション能力が低く、ID 保護は提供されません。ピアは、アグレッシブ モードまたはメイン モードを使用して IKE ネゴシエーションを開始できます。リモートピアは、ピアから送信されたモードを受け入れます。

IKEポリシーモードを設定するには、modeステートメントを含め、[edit security ike policy ike-peer-address]階層レベルでaggressiveまたはmainを指定します。

FIPSモードのJunos OSの場合、IKEv1のアグレッシブオプションは、[edit services ipsec-vpn ike policy policy-name]階層レベルのモードステートメントではサポートされていません。

IKEポリシーの事前共有キーの設定

IKEポリシーの事前共有鍵は、ピアを認証します。事前共有キーは、ピアのキーと一致する必要があります。事前共有鍵には、ASCII テキスト(英数字)鍵または 16 進数鍵を使用できます。

ローカル証明書は、事前共有キーの代替となります。事前共有鍵またはローカル証明書が設定されていない場合、コミット操作は失敗します。

IKEポリシーの事前共有キーを設定するには、[edit security ike policy ike-peer-address]階層レベルで pre-shared-keyステートメントを含めます。

プロポーザルとIKEポリシーの関連付け

IKE ポリシー プロポーザルは、IKE ポリシーに関連付けられた 1 つ以上のプロポーザルのリストです。

IKEポリシープロポーザルを設定するには、[edit security ike policy ike-peer-address]階層レベルでproposalsステートメントを含め、1つ以上のプロポーザル名を指定します。

関連項目

例:IKE ポリシーの設定

ポリシー10.1.1.2とポリシー10.1.1.1の2つの IKE ポリシーを定義します。各ポリシーは、 proposal-1proposal-2に関連付けられています。

手記:

現在の IKE プロポーザルとポリシー構成に対する更新は、現在の IKE SA には適用されません。更新は新しいIKE SAに適用されます。

新しい更新を直ちに有効にするには、既存の IKE セキュリティ アソシエーションをクリアして、変更された構成で再確立されるようにする必要があります。現在の IKE セキュリティ アソシエーションをクリアする方法については、 CLI Explorer を参照してください。
手記:

IPSec ピア間に複数の IPSec トンネルを設定する場合、IPSec トンネルは IPSec ピアの物理インターフェイス上の複数のローカル アドレスで終端したり、その逆を行ったりする可能性があります。

関連項目